Aperçu du cours
Objectif de formation : A l’issue de la formation, le stagiaire sera capable de mettre en oeuvre les règles et bonnes pratiques liées au développement sécurisé d’applications.
Prérequis
- Posséder une bonne connaissance de la programmation objet et de la programmation d'application Web
Objectifs pédagogiques
- Comprendre les problématiques de sécurité des applications
- Connaitre les principales menaces et vulnérabilité
- Appréhender les méthodologies / technologies de protection et de contrôle de la sécurité des applications
- Mettre en place une stratégie de veille
Public ciblé
- Architectes
- Développeurs
- Analystes
- Chefs de projets
Programme de formation
-
Sécurité du framework & du code
-
Principe fondamentaux
-
Rôles et sécurité
-
W^X
-
Le chiffrement
-
Validation et contrôle des entrées / sorties
-
Gestion et masquage d’erreurs
-
Sécurisation de la gestion de la mémoire
-
Authenticité et intégrité d’une application
-
Offuscation du code
-
Droits et contrôles avant exécution du code
-
Données sensible dans un binaire
-
Reverse engineering
-
Stack/Buffer/Heap overflow
-
-
Introduction à la cryptographie
-
Notions et définition
-
Présentation des types de chiffrement
-
Symétrique // Asymétrique
-
Combinaisons Symétrique & Asymétrique
-
Hachage et sels
-
Signatures numériques : processus de signature et de vérification
-
-
Chiffrement, Hash et Signature des données
-
Les acteurs du marchés : les CSP
-
Système, sécurité et cryptographie
-
Les algorithmes de chiffrement
-
Chiffrement symétrique
-
Algorithmes asymétriques
-
RSA, DSA, GPG
-
Algorithme de hachage
-
Travaux pratiques : choisir un algorithme de chiffrement selon le cas pratique et justifier le choix
-
-
Vue d'ensemble d'une infrastructure à clé publique
-
Certificat numérique : X.509
-
PKI – Définitions
-
Fonctions PKI
-
Composantes PKI
-
Fonctionnement PKI
-
Applications PKI
-
IPSec et SSL en entreprise
-
Smart Cards
-
Autorité de certification
-
-
SSL : certificat de serveur, utilisation et certificats clients
-
Certificat de serveur SSL
-
Certificat client
-
Fonctionnement de SSL : les phases
-
Couverture d’utilisation
-
Dates d’utilisation
-
-
Sécurité des services web
-
Objectifs de la sécurisation
-
Limitations SSL
-
WSE 2.0
-
Sécurisation des messages SOAP / REST
-
-
Jetons de sécurité
-
Présentation des différents types de jetons
-
Intégrité d’un jeton
-
Cycle de vie d’un jeton
-
Habilitation & contexte
-
Certificats X.509
-
Signature des messages SOAP/REST
-
-
Sécurité et développement Web
-
Erreurs fréquentes
-
Classification des attaques
-
Authentification par jeton
-
Gestion des habilitations
-
Handlers et méthodes HTTP
-
Contexte de sécurité : séparation des handlers
-
Attaque par injection : HTML, CSS, JS, SQLXSS
-
XSS Cookie Stealer
-
Cross-Site Request Forgery
-
-
Outils de sécurité et d'audit
-
Outils du SKD
-
Présentation des outils de tests de sécurité
-